漏洞披露政策

如果您认为您发现了 AxisNow 服务中的安全漏洞，请通知我们；我们将与您合作，尽快解决问题。

披露政策

• 如果您认为您发现了潜在漏洞，请通过电子邮件发送至 security#axisnow.io 通知我们。

• 在向公众或第三方披露之前，请给我们合理的时间解决问题。我们旨在披露后的 5 个工作日内解决关键问题。

• 尽诚信努力避免侵犯隐私、破坏数据，或中断或降低 AxisNow 服务的质量。请仅与您拥有或获得账户持有人明确许可的账户互动。

• 不要利用您发现的安全问题，包括通过危害敏感数据来展示额外风险的目的。

• 本政策不授权您访问不属于您的数据（包括用户数据、AxisNow 数据和任何个人数据）。

• 我们会对您做出的贡献进行公开或私人致谢。

规则

在进行安全研究活动时，您必须遵守以下规则：

• 不要故意干扰我们的服务。

• 不要侵犯其他用户的隐私，或更改或破坏数据。

• 不要为自身或第三方利益利用漏洞。

• 调查任何潜在错误时，仅针对您自己的账户。不要尝试访问其他用户的账户。

• 不要针对任何物理安全措施。

• 若发现允许系统访问的严重漏洞，请立即报告该漏洞，且不要进一步操作。

• 如何优先处理和解决错误的决定由 AxisNow 自行决定。

• 报告错误及与 AxisNow 人员互动时，不要表现出任何威胁行为。

• 保持与 AxisNow 的错误披露通信的机密性。请勿向任何第三方披露错误详情，除非 AxisNow 同意。

• 研究人员必须在错误报告关闭后销毁为记录漏洞创建的所有工件（POC代码、视频、屏幕截图）。

不在范围内的端点和系统

• AxisNow 公司网站（www.axisnow.io）

• AxisNow 产品中心网站（feedback-zh.axisnow.io）

• AxisNow 状态网站（status.axisnow.io）

• 以下子域名：email、download

不在范围内的漏洞

在研究时，请避免以下行为：

• 分布式拒绝服务（DDoS）

• 垃圾邮件

• 对 AxisNow 的物理财产或数据中心的任何攻击

报告漏洞

如果您认为您发现了潜在漏洞，请通过电子邮件发送至 security#axisnow.io 通知我们。我们将在 5 个工作日内确认收到您的电子邮件。在您的电子邮件中，应尽可能详细描述漏洞，并包括重现该漏洞的详细步骤。报告不应涉及本政策视为不在范围内的任何内容。所有评估均为最终决定。感谢您帮助保持 AxisNow 及我们用户的安全！

变更

我们可能不时修订这些内容。

联系方式

AxisNow 始终欢迎反馈、问题和建议。如果您想与我们联系，请随时通过电子邮件发送至security#axisnow.io。